CVE-2026-48045 in Zeroconfthông tin

Tóm tắt

Bởi VulDB • 17/07/2026

Zeroconf là một triển khai thuần Python cho việc khám phá dịch vụ Multicast DNS. Trước phiên bản 0.149.12, phương thức `AsyncListener.handle_query_or_defer` giữ lại mọi truy vấn đến bị cắt ngắn có cờ TC (Truncation) được đặt, với kích thước tối đa lên tới `_MAX_MSG_ABSOLUTE = 8966` byte, trong cấu trúc dữ liệu `self._deferred[addr]` và thiết lập bộ đếm thời gian cho từng địa chỉ trong `self._timers[addr]`, mà không giới hạn số lượng mục trong danh sách theo từng địa chỉ hoặc các khóa `addr` riêng biệt. Điều này cho phép các máy chủ chưa xác thực trên liên kết cục bộ qua UDP/5353 (224.0.0.251 / ff02::fb) giả mạo nguồn, làm tăng kích thước của `_deferred` và `_timers`, dẫn đến cạn kiệt tài nguyên bộ nhớ và tiêu thụ CPU theo cấp số nhân (quadratic CPU burn). Vấn đề này đã được khắc phục trong phiên bản 0.149.12.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

20/05/2026

Tiết lộ

17/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!